CentOS GCC安全設置有哪些

CentOS GCC 安全設置主要包括以下幾個方面：

1. 使用 GCC 的 Developer Toolset：

   • 推薦使用 Red Hat 提供的 Developer Toolset 來管理不同版本的 GCC，這樣可以隨時切換版本，并且可以并存多個版本，不會破壞原有 GCC 環境。

2. 啟用 SCL 倉庫：

   • CentOS 7 默認的倉庫中可能沒有最新版本的 GCC。為了安裝較新的 GCC 版本，需要啟用 SCL 倉庫?？梢酝ㄟ^以下命令啟用 SCL 倉庫：

     yum install centos-release-scl
     

   • 安裝完成后，在 /etc/yum.repos.d 目錄下會出現 CentOS-SCLo-scl.repo 和 CentOS-SCLo-scl-rh.repo 兩個文件，源默認啟用。

3. 安全基線配置：

   • 口令策略：
     • 設置口令最長使用天數 /etc/login.defs 中 PASS_MAX_DAYS 不小于標準值 900。
     • 設置口令更改最小間隔天數 /etc/login.defs 中 PASS_MIN_DAYS 不小于標準值 20。
     • 設置口令最小長度 /etc/login.defs 中 PASS_MIN_LEN 不小于標準值 8。
     • 設置口令過期提醒天數 /etc/login.defs 中 PASS_WARN_AGE 不小于標準值 70。
     • 設置 root 用戶密碼口令使用天數 chage root -M 90。
   • 密碼復雜度：
     • 編輯 /etc/pam.d/system-auth 文件，添加 password requisite pam_pwquality.so retry=5 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 以設置密碼復雜度。
   • 賬戶認證失敗次數限制：
     • 檢查 /etc/pam.d/sshd 和 /etc/pam.d/system-auth 文件，配置 SSH 方式賬戶認證失敗次數限制和賬戶認證失敗次數限制。

4. SELinux 配置：

   • 使用 getenforce 命令查看 SELinux 是否開啟。
   • 編輯 /etc/selinux/config 文件，修改 SELINUX 值為 enforcing 或者 permissive（建議改成這個模式，只記錄不進行攔截），然后使用 reboot 命令重啟機器使修改生效。

5. cron 和 at 安全性配置：

   • 檢查 /etc/cron.allow 和 /etc/at.allow 是否存在非 root 用戶，如無此文件請創建，并進行用戶限制。
   • 加固前應當檢查業務應用啟動用戶是否配置了定時任務，避免導致備份失敗。

6. su 安全配置：

   • 編輯 /etc/pam.d/su 文件，檢查是否有以下配置：
     • auth required pam_wheel.so use_uid：只有 wheel 組能用 su。
     • auth sufficient pam_rootok.so：su 需要密碼。

7. 用戶 umask 設置：

   • 檢查 /etc/csh.cshrc、/etc/profile、/etc/bash.bashrc 或 /etc/bashrc 文件，設置 umask 值為 077，并通過命令 umask 檢查是否修改成功。

8. 重要文件屬性設置：

   • 檢查 /etc/gshadow、/etc/shadow、/etc/group、/etc/passwd 文件屬性，使用 lsattr 命令查看文件屬性，使用 chattr +i 命令設置文件屬性。